漏洞预警|Apache Commons Configuration远程代码执行漏洞

开源漏洞预警

近日网上有关于开源项目Apache Commons Configuration远程代码执行漏洞 ,棱镜七彩安全研究院对漏洞进行了验证。

项目介绍

Apache Commons Configuration 是 Apache 基金会下的一个开源项目组件。它提供了一种通用的方式,让 Java 开发者可以使用统一的接口读取不同类型的配置文件。

项目地址

https://commons.apache.org/

代码托管地址

https://github.com/apache/commons-configuration

漏洞概述

该漏洞是由于 Apache Commons Configuration 提供的 Configuration 变量解释功能存在缺陷,攻击者可利用该漏洞在特定情况下,构造恶意数据执行远程代码。

影响版本

2.4 ≤ Apache Commons Configuration ≤ 2.7

Cve编号

CVE-2022-33980

修复方式

解决方案

如何检测组件系统版本

若项目使用 Maven 进行管理,可查看依赖中是否引用了 commons-configuration2,查看版本是否在受影响范围内:

<dependency>

<groupId>org.apache.commons</groupId>

<artifactId>commons-configuration2</artifactId>

<version>2.7</version>

</dependency>

或搜索是否包含如下 Jar 包,查看版本是否在受影响范围内:

修复方案

建议用户升级到 Apache Commons Configuration 2.8.0,默认情况下禁用有问题的插值器。

参考链接

链接地址:

https://commons.apache.org/proper/commons-configuration

https://lists.apache.org/thread/tdf5n7j80lfxdhs2764vn0xmpfodm87s

  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值